- •Лабораторная работа № 9 "Администрирование и управление ресурсами в Windows nt/2000/2003/xp"
- •Сетевые модели организации пользователей: модель рабочих групп и доменная модель. Доверительные отношения.
- •Типовые доменные модели Windows nt/2000/2003/xp.
- •Администрирование учетных записей. Локальные и глобальные уч.Записи. Свойства встроенных уч.Записей.
- •Группы пользователей. Глобальные и локальные группы. Специальные группы.
- •Привилегии уч.Записей и групп. Свойства встроенных локальных групп.
- •Элементы системы безопасности Windows nt/2000/2003/xp. Функции средств: Local Security Authority, Security Account Manager, Security Reference Monitor.
- •Механизм защиты ресурсов. Маркеры доступа, списки контроля доступа acl.
- •Права доступа к каталогам и файлам. Понятие владельца. Стратегия предоставления прав на доступ.
- •Управление системной политикой. Свойства и использование System Policy Editor.
- •Оснастка
- •Свойства одноранговых лвс. Харатеристика лвс на базе Windows 9x. Другие примеры: Windows for Workgroups, Novell NetWare Lite, Personal NetWare, Artisoft Lantastic.
- •Компоненты сетевой подсистемы: клиенты, сервисы, адаптеры, протоколы. Установка, основные параметры и взаимосвязь компонентов.
- •Эталонная семиуровневая модель osi. Функции уровней.
- •Уровни модели osi
- •Прикладной уровень (Application layer)
- •Уровень представления (Presentation layer)
- •Сеансовый уровень (Session layer)
- •Транспортный уровень (Transport layer)
- •Сетевой уровень (Network layer)
- •Канальный уровень (Data Link layer)
- •Физический уровень (Physical layer)
- •Взаимодействие уровней
- •Стек протоколов ipx/spx. Поддержка ipx/spx в Windows 9x.
- •Спецификации odi, ndis, протокол NetBeui.
- •Стек протоколов tcp/ip. Поддержка tcp/ip в Windows 9x.
- •Управление ресурсами в одноранговой сети Windows 9x.
- •Управление пользователями в одноранговой сети, профили пользователей.
- •Свойства Windows 9x как клиента в серверной сети Windows nt, NetWare. Понятие о системной политике.
- •Подключение к сети
Элементы системы безопасности Windows nt/2000/2003/xp. Функции средств: Local Security Authority, Security Account Manager, Security Reference Monitor.
Система защиты ОС Windows состоит из следующих компонентов:
Процедура регистрации (Logon Processes), которая обрабатывает запросы пользователей на вход в систему. Она включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране, и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT. Процесс Winlogon реализован в файле Winlogon.exe и выполняется как процесс пользовательского режима.
Подсистема локальной авторизации (Local Security Authority, LSA - часть операционной системы отвечающей за авторизацию локальных пользователей отдельного компьютера), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент - центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа.
Менеджер учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей.
RPC-сервер Windows, оперирующий базой данных учетных записей.
{Удалённый вызов процедур (или Вызов удалённых процедур) (Remote Procedure Call (RPC)) — класс технологий, позволяющих компьютерным программам вызывать функции или процедуры в другом адресном пространстве (как правило, на удалённых компьютерах).}
SAM выполняет следующие задачи:
1) Идентификация субъектов (трансляции имен в идентификаторы (SID'ы) и обратно);
2) Проверка пароля, авторизация (участвует в процессе входа пользователей в систему);
3) Хранит статистику (время последнего входа, количества входов, количества некорректных вводов пароля);
4) Хранит настроки политики учетных записей и приводит их в действие (политика паролей и политика блокировки учетной записи);
5) Хранит логическую структуру группировки учетных записей (по группам,доменам,алиасам);
6) Контролирует доступ к базе учетных записей;
7) Предоставляет программный интерфейс для управления базой учетных записей.
Диспетчер доступа (Security Reference Monitor, SRM), проверяющий, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо.
Реализация модели дискреционного контроля доступа связана с наличием в системе одного из ее важнейших компонентов - монитора безопасности. Это особый вид субъекта, который активизируется при каждом доступе и в состоянии отличить легальный доступ от нелегального и не допустить последний. Монитор безопасности входит в состав диспетчера доступа (SRM), который, согласно описанию, обеспечивает также управление ролевым и привилегированным доступом.